據(jù)外媒報(bào)道，如果近日發(fā)現(xiàn)的施耐德電氣EVlink Parking充電站漏洞被黑客利用，電動(dòng)汽車車主將會(huì)無(wú)法給汽車充電。

據(jù)了解，目前多個(gè)國(guó)家的辦公樓、酒店和超市附近均配備施耐德電氣的EVlink Parking充電站。施耐德電氣表示，各充電站的管理人員需要注意，如果當(dāng)前充電站的固件版本是3.2.0-12_v1及之前的版本，建議充電站安裝新的固件。另外，個(gè)人用戶可以設(shè)置防火墻，阻止除授權(quán)用戶以外的遠(yuǎn)程/外部訪問(wèn)，以降低遭受攻擊的風(fēng)險(xiǎn)。

三個(gè)漏洞的細(xì)節(jié)是由莫斯科的網(wǎng)絡(luò)安全公司PositiveTechnologies的兩個(gè)安全專家Vladimir Kononovich和Vyacheslav Moskvin發(fā)現(xiàn)的。他們表示，這三個(gè)漏洞分別是超危漏洞、高危漏洞、中危漏洞。

超危漏洞是CVE-2018-7800，與硬編碼證書(shū)錯(cuò)誤有關(guān)，該漏洞可以讓黑客擁有最大訪問(wèn)權(quán)限來(lái)訪問(wèn)充電站，甚至控制充電過(guò)程。黑客可以讓汽車停止充電，也可以打開(kāi)預(yù)約模式，讓顧客無(wú)法進(jìn)行充電。此外，黑客可以在汽車充電過(guò)程中操控插座鎖定裝置，解鎖電纜，讓小偷偷走電纜。

高危漏洞是CVE-2018-7801。這種代碼注入漏洞允許遠(yuǎn)程攻擊者執(zhí)行任意代碼，并獲得最大訪問(wèn)權(quán)限。攻擊者還可以直接管理操作系統(tǒng)，執(zhí)行如添加新用戶、更改文件和配置、添加后門(mén)及其他方法，致使充電站的合法管理者無(wú)法進(jìn)行檢測(cè)、修復(fù)等操作。

中危漏洞是CVE-2018-7802。它是一個(gè)SQL注入漏洞，攻擊者可以繞過(guò)授權(quán)，以最大權(quán)限訪問(wèn)網(wǎng)站。

Positive Technologies公司的行業(yè)研究分析師Paolo Emiliani表示，這些漏洞可能會(huì)造成嚴(yán)重后果，攻擊者可以阻止電動(dòng)汽車充電，這對(duì)能源行業(yè)會(huì)造成嚴(yán)重?fù)p害。

Positive Technologies多年來(lái)一直在分析施耐德電氣產(chǎn)品的安全性，曾幫助施耐德電氣發(fā)現(xiàn)工業(yè)過(guò)程自動(dòng)化系統(tǒng)和APC不間斷電源的缺陷。據(jù)稱，PositiveTechnologies安全研究人員早在2018年5月，就已經(jīng)向施耐德電氣發(fā)送了他們發(fā)現(xiàn)的漏洞詳細(xì)信息。

cc

收藏 海報(bào)分享